Koronavírus adatok

2021. dec. 06.
Oltottak Kórházban Elhunytak Fertőzöttek
Miklós
1 °C
4 °C

Vigyázzon, éppen lopják a jelszavát!

2016.06.11. 18:51

A kétlépcsős azonosítás (two-factor authentication, 2FA) alapvetően jó dolog: biztonságosabbá teszi az internethasználatot. Általában úgy működik, hogy a jelszó megadása után meg kell adnunk még egy azonosítót – például egy, a telefonunkra küldött kódot. Így működik a netbankok többsége is. Ezzel a módszerrel megelőzhető, hogy illetéktelenek férjenek hozzá a fiókjainkhoz, még ha meg is szerezték a jelszavunkat.

De a hekkerek ravaszsága mindig nagyobb, mint a felhasználók naivitása.

Alex MacCaw, a Clearbit társalapítója a héten megosztott egy fotót a Twitteren; ezen az látható, ahogy valaki megpróbálja belőle kiszedni a kétlépcsős megerősítéshez szükséges Google-jelszavát.

Valószínűleg nem ő az egyetlen, akit megpróbáltak csőbe húzni. De mi is történik pontosan?

  1. A támadó egy üzenetet küld a felhasználónak, és úgy tesz, mintha annál a cégnél dolgozna, ahol a felhasználónak saját fiókja van.
  2. Arra hivatkoznak, hogy gyanús fióktevékenységet (suspicious activity) észleltek, és kérik a kétlépcsős azonosításhoz szükséges kódot, amivel megelőzhető, hogy feltörjék a fiókját.
  3. Az áldozat, aki pont ettől tart, kapásból megadja a 2FA-kódot, és megnyugszik, hogy megelőzte a bajt.
  4. Valójában éppen ezzel hozta magára a bajt.
  5. A támadók ezután megadják a ravaszul megszerzett 2FA-kódot, és máris hozzáfértek a felhasználók fiókjához.
  6. Esetenként még az azonosítójukat is hamisítják (spoofing), hogy úgy tűnjön, valóban egy létező cégtől, például a Google-től vagy a Microsofttól jelentkeztek be.

Ehhez a művelethez persze még a felhasználó jelszavára is szükség van. Ugyanakkor több módszer van, amivel ezt könnyen megszerezhetik: nemrég például attól volt hangos az internet, hogy egy hekker(csoport) nagyjából 800 millió jelszót lopott el közösségi oldalaktól

Hogy kerülhetik el a hasonló eseteket? Először is válasszanak nehezen kitalálható, de könnyen megjegyezhető jelszót; ha szükséges, használjanak jelszókezelő szoftvereket. És soha ne adják meg a 2FA-kódot, még akkor se, ha úgy tűnik, legitim forrásból kérik.